Autoclerk旅行预定平台泄露大量美国军队和政府人员数据

近期，vpnMentor的研究团队发现了Autoclerk公司数据库的一个漏洞。Autoclerk刚被Best Western Hotels and Resorts Group收购，而这个数据库和各种在线旅游和酒店平台相关联。

考虑到Best Western是世界上最大的连锁酒店集团之一，此次数据泄露事件潜在影响全球1000多万人，无数客户的预订信息和个人隐私都有可能被泄露，而且该数据库每天还会新增数百万条新记录。

而此次泄密事件中最令人惊讶的受害者不是某个人或公司，而是美国政府、军队和国土安全部。vpnMentor团队发现了高度敏感的数据，直接暴露了政府和军事人员的个人信息，以及他们过去和未来的旅行安排。一旦泄露，造成的影响无法想象。

时间轴

在发现这个数据库后，vpnMentor团队通过多种方法去找寻背后的所有者，最终确定其很有可能属于Autoclerk。同时，我们也联系了美国CERT，向它们描述了事件性质（与政府和军队有关）。不过，在本文发布时，他们并没有回复我们的邮件。

• 9月13日：数据库被发现

• 9月13日：与美国CERT联系，未回复

• 9月19日：美国驻特拉维夫大使馆也表示CERT无响应

• 9月26日：与五角大楼代表取得联系，他表示这个问题将很快得到解决

• 10月2日：数据库关闭

数据库信息

该数据库托管在美国Amazon服务器上，数据量超过179GB。大部分数据来自外部的旅游和接待平台，通过某个统一的平台进行交互。受影响的系统包括旅游和酒店业的物业管理系统（PMS）、预订系统和各类数据服务系统。

Autoclerk的系统是一个针对酒店、业主、旅行社的综合预订系统。其包括基于服务器和云的物业管理系统、网页预订系统、中央预订管理系统和各类接口。因此，这次所发现的数据库和无数的酒店及旅游平台相连。以下外部平台均受影响：

• HAPI Cloud

• OpenTravel

• myHMS and CleanMeNext by Autoclerk

• Synxis by Sabre Hospitality Solutions

虽然这些平台大多位于美国，但其中包括世界各地用户的数据。研究团队还看到了许多未加密的登录凭证，以及大量外部系统的帐户，如独立的PMS平台、客户评级和评论系统等。

个人旅行信息

由于此次泄露的数据和旅游及酒店有关，因此数据库中包含了10万条预订信息，其中含有住宿客人的隐私。信息条目为：

• 全名

• 出生日期

• 家庭住址

• 电话号码

• 日期和旅行费用

• 打码的信用卡信息

有些客人已登记入住酒店，所以他们的登记时间和房间号码也在数据库中。

美国政府的数据

除了大量个人的预订信息，美国政府人员和军事人员的信息也出现在数据库中。我们相信这对美国政府和军方产生的影响是无法估量的。攻击者利用这些信息可以进行大量有针对性的钓鱼攻击。只要有一次成功，后果就可能很严重。2018年，俄罗斯黑客就是利用一次简单的钓鱼攻击，进入了美国民主党的服务器。此外，这些信息（房间号等）还会直接威胁到人员的生命安全，而且也难以保证这些数据不会被传播。

如何发现

vpnMentor研究团队是在某次大型安全项目中对某个IP进行扫描时发现的，数据源是一个Elasticsearch（在以往已发生过大量有此软件有关的数据泄露事件）。研究人员可以直接通过浏览器进行访问，并用特定语句进行操控。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.vpnmentor.com/amp/blog/us-travel-military-leak/